堆溢出 对空表的调试

最新推荐文章于 2022-01-09 11:06:27 发布
最新推荐文章于 2022-01-09 11:06:27 发布
阅读量476 收藏
点赞数 2
文章标签: 堆栈 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/108667410
版权

代码

#include <windows.h>
int main()
{
	HLOCAL h1,h2,h3,h4,h5,h6;
	HANDLE hp;
	hp = HeapCreate(0,0x1000,0x10000);//创建一个新的堆
	_asm int 3//中断,进入OD调试

	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6);
	h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,19);
	h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,24);
	_asm int 3
	
	HeapFree(hp,0,h1);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h5);
	_asm int 3
	HeapFree(hp,0,h4);
	_asm int 3

	return 0;
}

实验目的

简单理解空表

实验准备

环境:windows xp
编译器:vc++
调试器:OD

实验过程

1.把OD设成默认调试器,打开这段程序触发异常正好卡在HeapCreate后面,这时候的正好把新建好的堆的地址传入eax。
在这里插入图片描述
试了下Heap_Vis这个插件,好像不是那么好用,我用了下,直接给我卡死了,最后还是靠Ctrl+Alt+Del才救回来的(有可能是插件冲突了?懒得去搞了

在这里插入图片描述
2.找到堆的地址发现堆的结构前面先是一段段表。中间是虚分配表,因为堆才初始化,没有虚分配记录所以全都为NULL,然后就是32位的bitmap应该是来统计堆表的分配,如果表被占用则,该对应的bit位上为1.
然后接下来就是空表索引区,但是由于都没有被占用,所有的空表都指向自己的位置。
其中零号空表(0x003a0178)指向的是尾块。

在这里插入图片描述
PS:堆表表头的结构为

ByteName
1~2Self Size 自身的长度
3~4Previous chunk size 上一节的长度
5Segment Index 段索引
6Flags 该位为1的时候,表示该表被占用了
7Unused bytes
8Tag index
9~bFlink in freelist (占用态)
c~fBlink in freelist (占用态)

3.观察到零号空表指向的尾块表头,表头下面的就是指向零号空表的双向链表。实际上这个堆块开始于 0x0030680,一般引用堆块的指针都会跃过 8 字节的块首,直接指向数据区。Self Size为0x130,因为堆中一个单位对应的都是八个字节,所以总空间为 0x130 * 8。

(1)堆块的大小包括了块首在内,即如果请求 32 字节,实际会分配的堆块为 40 字节:8字节块首+32 字节块身。
(2)堆块的单位是 8 字节,不足 8 字节的部分按 8 字节分配。
(3)初始状态下,快表和空表都为空,不存在精确分配。请求将使用“次优块”进行分配。这个“次优块”就是位于偏移 0x0680 处的尾块。
(4)由于次优分配的发生,分配函数会陆续从尾块中切走一些小块,并修改尾块块首中的size 信息,最后把 freelist[0]指向新的尾块位置。
在这里插入图片描述

3.把断点的位置移到HeapAlloc的后面观察每个空间的申请。
0x003a0680到0x003a06e0就是1到6号申请的空间。
开头是02,则代表分配了2 * 8个字节的空间。
开头是04,则代表分配了4 * 8个字节的空间。
然后这个时候再看尾块的表头的Self Size为0x120,因为前面分配了0x10的空间(2 * 4 + 4 * 2 = 0x10)
这时零表中指向尾块的指针也变成了0x003a0700
在这里插入图片描述

4.把断点的位置移到HeapFree h5的后面,观察h1和h3链入了Freelist[2],h5链入了Freelist[4],同时观察Flag位都变为了0,意味着恢复成了空闲态。

在这里插入图片描述

5.又把断点的位置移到HeapFree之后观察堆表h1链入了Freelist[2],h3脱离了Freelist[2]与h1组成的链表链入了Freelist[8],同时观察h3开头的02已经变成了08,此时已经完成了h3,h4,h5的合并。h5也从Freelist[4]中取下了。
堆块合并的过程。堆块合并可以更加有效地利用内存,但往往需要修改多处指针。因此,堆块合并只发生在空表中。在强调分配效率的快表中,堆块合并一般会被禁止(通过设置堆块为占用态)。另外,空表中的第一个块不会向前合并,最后一个块不会向后合并。
Freelist中指向的地址都自动跳过了堆块头的,也就是跳过了那8个字节。

在这里插入图片描述

观察此时Freelist[4]已经变为指向自身,Freelist[2]也只链入了一个h1
在这里插入图片描述

PS:调试堆好像不能用OD直接载入,必须的在进程中调试,不然堆的位置就会出现乱码。
在这里插入图片描述

0xwangliang
关注
堆溢出(二)空表DWORD SHOOT
Reshahar 的博客
03-18 1189
0x000 环境 虚拟机 VirtualBox 5.0.20 系统 windows 2000 Kali linux 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出之空表 代码 2. #include <stdio.h> 3. #include <windows.h> 4. 5. int
堆溢出利用
wangtiankuo的博客
10-10 1366
本文整理自《0day安全:软件漏洞分析技术》 1 2 代码 #include "stdafx.h" #include &lt;Windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { //HANDLE和HLOCAL 是 void* HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp=HeapCre...
堆栈溢出调试-gdb-例子
03-26
通过列举linux平台下的例子,并结合gdb描述了堆栈溢的过程。
堆溢出问题快速调试
輚至消亡
02-19 389
首先来看下问题代码,这里最后的空字符发生了溢出。 来看一下出现的问题以及如何调试。 上面写明是链中第41个块且地址在0x00382a700出发生了错误。这种情况下别急着终止,点击重试就会断在出问题的位置。 点重试后断到了这里 往上拉一拉,寻找函数名,或者直接查看调用堆栈发现是断在_free_dbg函数中,这个函数是free()的底层,所以可以断定一定是释放的时候出了问题 直接在free()函数上下断点然后运行过去,发现第41块块的下溢标志受损了。就是strcpy导致的。
《0day安全》中的堆溢出利用调试
Lethe's Blog
06-26 909
0x01 的工作原理 实验环境: 推荐使用环境 备注 操作系统 Windows20000虚拟机 分配策略对操作系统非常敏感 编译器 Visual C++ 6.0 默认编译选项 编译选项 默认编译选项 VS2003/VS2005的GS选项将导致实验失败 build 版本 release VS2003/VS2005的GS选项将导致实验失败 调试器 Ollydbg 需要配置Make OllyDbg just-in-time debugger选项 调试代码如下: #inclu
堆溢出 对快表的调试
Misaka10046的博客
09-19 193
代码 #include <stdio.h> #include<windows.h> void main() { HLOCAL h1,h2,h3,h4; HANDLE hp; hp = HeapCreate(0,0,0); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h3 = HeapAlloc(hp,HEAP_ZERO_
xp下调试堆溢出(上)--HeapAlloc分配
lixiangminghate的专栏
07-06 1769
题记:win10都开始推广了,我还在折腾xp,真low,不过总得有这个过程吧。     DWORD SHOOT的原理是利用Release版发布的程序在正常启动(非调试启动)情况下,使用Lookaside表(又称块表)管理程序中频繁的申请/释放操作。本文以堆溢出学习笔记和为基础,改进而来。     首先要明确Lookaside表是一个单链表
漏洞学习笔记——堆溢出原理
谈成(C/C++)
04-14 3718
最近在学习溢出原理,但是查了网上和书上的一些讲解,总是感觉缺少一些关键点。所以理解起来总是有点晕,经过努力的调试分析后,总结了下面的更为详细的堆溢出原理。如果不准确的地方,希望大佬可以提醒一哈~ 1.的结构: struct _LIST_ENTRY{ DWORD Flink; DWORD Blink; } //空闲头结构 struct _HEAP_FREE_ENTRY{ union{ struct{ union{ struct { WORD Size;
3堆溢出.docx
05-11
### 3堆溢出知识点详解 #### 一、堆溢出基本概念 堆溢出是一种常见的安全漏洞,它发生在程序尝试向动态分配的内存(即内存)中写入超出其边界的数据时。这种错误可能导致数据损坏、程序崩溃或者被攻击者利用来...
【pwn学习】堆溢出(二)- First Fit
Morphy_Amo的博客
01-09 933
glibc管理中的First Fit机制
olly_heap_vis.dll
04-13
可以用在OD里面看,插件的用法自行百度
软件调试笔记44 - 检查 : 缓冲区溢出
imJaron的博客
12-06 442
调用时验证: 尾检查:
堆栈溢出
weixin_34269583的博客
02-14 260
堆栈溢出    堆栈溢出就是不顾堆栈中分配的局部数据块大小(在栈中分配的局部数据块大小和局部变量的声明的大小有关),向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据(包括函数的返回地址)。 或者解释为在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址,这样当过程返回时,程序就转而开始执行这段自编的代码了.这东西像病毒 基础知识 首...
Windows堆栈溢出全面解析
07-17 1211
 关于堆栈溢出,前面写的多期文章都是关于具体漏洞分析和ShellCode的编写技术,而有朋友希望我能写点入门级的文章。今天,我就和大家一起,来全面解析Windows下堆栈溢出的具体细节及利用过程。过程虽然简单,但自己又走了一遍,才发现里面的确有一些值得注意的地方。废话少说,我们直接切入正题!基础知识首先简单讲两个基础知识,一是函数调用时堆栈的变化;二是函数调用约定对函数调用及返回时堆栈变化的影响。
堆溢出(一)结构
Reshahar 的博客
03-09 6689
0x000 环境 虚拟机 VirtualBox 5.0.20 系统 windows 2000 工具 VC++6.0 OllyDbg 1.10 汉化版 0x001 中的数据结构 块 1) 块分为块首和块身 2) 块首大小为(8字节) 注:flag 01 表示块占用 3) 空闲态的块在块首后有两个指针 表(空表和快表) 1) 空表:双
Windows的分析
萍水间人的小天地
06-18 215
又把0day安全翻了一下收获了很多,还是关于的知识 源代码: #include <windows.h> main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,H...
linux下堆溢出实验和一些tips
一个码农的笔记
09-26 4824
首先我的实验环境和教程均来自http://staff.ustc.edu.cn/~sycheng/ssat/,我这里讲的是《缓冲区溢出堆溢出》这个课程的实验 实验开始,首先你要准备好环境,我的操作系统是BOF_debian2.4.18,你可以在https://pan.baidu.com/share/link?uk=447211&shareid=2477082370#list/path=%2F&pa
《0Day安全》之堆溢
binghupo的博客
12-05 7841
最近重读《0Day安全》,由于栈溢出比较简单,所以直接从堆溢出开始读起。 在学习堆溢出之前,需要读者对的结构有一定的了解。先写一个小程序,分配一个新的来供我们研究它的结构,代码如下 #include #include int main() { HLOCAL h1, h2, h3, h4, h5, h6; HANDLE hp = NULL; hp = HeapCreate(
Windows栈溢出与Exploit全攻略
教程作者虽然提到未来可能涉及堆溢出,但目前主要集中在栈溢出领域。《0day安全:软件漏洞分析技术》第二版的出版,进一步填补了国内在深入理解Windows溢出方面的空白,尤其是对于早期的经典著作《网络渗透技术》所...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值